Kaspersky Lab continue de faire ses preuves en termes de traque des cybercriminels. La toute dernière intervention revient à l’équipe Great (Global Research & Analysis Team) qui relève de cette société spécialisée dans la sécurité des systèmes d’information.
Elle vient de faire la découverte du groupe Poseidon, une menace avancée active dans des opérations internationales de cyber espionnage depuis au moins 2005. L’originalité de Poseidon est qu’il s’agit d’une entité commerciale, dont les attaques font appel à des malwares personnalisés, signés numériquement avec des certificats pirates et déployés dans le but de dérober des données sensibles aux victimes et de les racketter. En outre, le malware est conçu pour fonctionner spécifiquement sur les machines Windows en anglais et en portugais brésilien, une première pour une attaque ciblée.
Au moins 35 entreprises victimes ont été identifiées, les principales cibles étant des établissements financiers et des administrations, des opérateurs de télécommunications, des fabricants, des compagnies d’énergie et d’autres réseaux de services collectifs, ainsi que des groupes médias et des agences de relations publiques. Les experts de Kaspersky Lab ont également détecté des attaques contre des sociétés proposant leurs services à des cadres supérieurs. Les victimes du groupe Poseidon se trouvent principalement aux Etats-Unis, France, Kazakhstan, Emirats Arabes Unis, Inde et Russie.
Une fois un ordinateur infecté, le malware rend compte à des serveurs de commande et de contrôle, avant d’entamer une phase complexe de déplacements latéraux à l’intérieur du réseau de l’entreprise. Cette phase fait souvent intervenir un outil spécialisé qui collecte automatiquement et systématiquement un grand nombre d’informations (identifiants, règles de sécurité, voire journaux système) afin de mieux cibler les attaques suivantes et d’assurer la bonne exécution du malware.
De la sorte, les auteurs des attaques savent quelles applications et commandes utiliser sans alerter l’administrateur du réseau pendant leur exploration et leur exfiltration. Les informations rassemblées sont ensuite exploitées par une organisation de façade pour racketter les entreprises victimes en les contraignant à engager Poseidon comme consultant en sécurité, sous peine de voir utiliser les informations dérobées dans une série de transactions louches au profit du groupe.
